Küberkuritegevuse uurija: mida peaksite krüptoviiruse kohta teadma?

Sellest teemast tuleb põhjalikumalt juttu CERT.LV küberturvalisuse konverentsil CyberChess 2024, mis toimub tänavu 1.–3. oktoobrini. Konverentsi on võimalik jälgida ka veebi teel 2. ja 3. oktoobril selle ametlikul veebilehel cyberchess.lv, kust saab kogu jooksva info küberturvalisuse kohta.

Krüptoviirus on pahavara, mis siseneb teie seadmetesse ja süsteemidesse, krüpteerib teie andmed ja teil ei ole enam neile juurdepääsu. Kõik on „kokku jooksnud“. Küberkurjategijad nõuavad lunaraha, lubades, et pärast selle saamist tagastatakse juurdepääs andmetele. Riskide hajutamiseks küberkurjategijad mitte ainult ei krüpteeri andmeid, vaid samal ajal ka varastavad neid, et ähvardada ohvreid tundliku teabe „lekkega“.

Krüptoviirus pole midagi uut, see on eksisteerinud juba üle kahekümne aasta, ent kui kui varem olid rünnakud suunatud peamiselt eraisikute vastu e-posti teel, siis nüüd kasutatakse lunavaraviirust suurematelt organisatsioonidelt väljapressimiseks. Enamasti on ründajad rahaliselt motiveeritud ning nende peamine eesmärk on krüpteerida organisatsiooni toimimiseks vajalikud andmed nii, et selle töö täielikult halvata. Enam pole võimalik pääseda ligi failidele, andmebaasidele ega rakendustele, mõnikord jooksevad kõik seadmed kokku. Lunavara on sageli loodud levima kogu võrgus, nii et see võib organisatsiooni töö kiiresti halvata, isegi kui organisatsioonil on väidetavalt varuandmebaasid. Kurjategijad valivad andmete krüpteerimiseks sageli nädalavahetuse või pühadeaja, et organisatsioonid ei saaks kiiresti reageerida, või et reageerimine viibiks. See on kasvav oht, mis põhjustab miljardites dollarites kahjusid erinevatele organisatsioonidele üle kogu maailma, sealhulgas ettevõtetele ja riigiasutustele.

Küberkurjategijad kasutavad veenvat väljapressimist. Tänapäeval ei halva häkkerid pahatahtliku koodiga mitte ainult süsteeme, vaid varastavad ka organisatsiooni andmeid. Häkkerid ähvardavad, et organisatsiooni delikaatsed andmed avaldatakse konkreetsetel veebilehtedel ning et organisatsiooni partnereid ja kliente teavitatakse sellest. Küberkurjategijad oskavad väga hästi ettevõtetega manipuleerida, sest teavad, et partnerid ja kliendid, kes saavad teada, et keegi on nende andmeid ebaturvaliselt käsitlenud, ei soovi edaspidi nendega koostööd teha, mistõttu on ohvriks olevatel organisatsioonidel huvi maksta. Kui ettevõtted väljapressimisele järele ei anna, on täheldatud tendentsi, et küberkurjategijad valivad muu taktika. Näiteks kasutatakse varastatud andmeid organisatsiooni töötajate, partnerite ja klientidega ühenduse võtmiseks ning nendelt väljapressimiseks.

Tänapäeval sihitakse krüptoviirusega tõenäolisemalt jõukamate riikide (nt Skandinaavia) suuremaid maksejõulisi organisatsioone. Kõige sagedamini on lunavararünnakuid näha tootmissektoris, millele järgnevad tehnoloogiaettevõtted, jaekaubandus, inseneeria ja ehitus. Viimasel ajal on krüptoviirused spetsiaalselt suunatud tootmises tarneahelate häirimiseks ja mõjutamiseks. Näiteks teenusepakkujatele, kes pakuvad failivahetust. Nii saab andmeid koguda korraga mitmelt organisatsioonilt ja seeläbi ka raha välja pressida.

Esiteks tuleks järgida küberhügieeni. Töötajad ei tohiks kasutada tööarvuteid isiklikel eesmärkidel. Mõnikord, kui laadite alla isegi näiliselt süütuid programme, võib juhtuda, et laadite oma arvutisse koos nendega alla ka pahavara. See saab enda valdusse nii töötaja individuaalsete ligipääsude kui ka ettevõtte autentimiseks vajalikud andmed. Seetõttu peaks tööandja tagama, et igal töökontol oleks mitmeosaline autentimine. Samuti peaksite alati veenduma, et teie endistel töötajatel pole juurdepääsu teie organisatsiooni andmetele. Pidage meeles, et enamik küberrünnakuid juhtub siis, kui keegi ei ole valvel või teeb midagi rumalat, näiteks avab ebaturvalise meili või väidetavalt naljaka video. Inimesed langevad krüptoviiruse ohvriks ka siis, kui nad seda ei taha, kuid tööandjal tuleb sellega arvestada. Seetõttu tuleks organisatsiooni olulised andmed hoolikalt ja tehniliselt korrektselt varundada, et krüptoviirused neile ligi ei pääseks.

Kõige parem oleks kasutada erinevaid jälgimisprogramme, mis võimaldavad varakult kindlaks teha, kas ettevõtte autentimisandmed on "lekkinud". Näiteks, ega mõni pääsukood ei ringle kaubana tumeveebis (dark web). Monitooring annab sellest märku ja saate ennetavalt reageerida, muutes võimalike rünnakute vältimiseks autentimiskoode või isegi autentimismeetodeid.

Kui mõistate, et teie ettevõtte süsteemi on rünnatud, tuleb kohe tegutseda. Mida kauem ootate ja lubate klientidel, partneritel oma süsteeme edasi kasutada, seda kauem jätkub andmevargus ja nakatumine.

Rünnakust ei tohiks vaikida, sellest tuleb teavitada õiguskaitseorganeid. Tuleb tõdeda, et väljapressimisele järeleandmine ja lunaraha maksmine ei ole mõistlik – lunaraha ei garanteeri, et vastu antakse dekrüpteerimiskood, mis taastab täielikult kõik andmed ning teil puudub igasugune kontroll selle üle, mil moel varastatud andmeid edasi kasutatakse. Enamasti nõutakse lunaraha krüptovaluutades, kuna need tehingud tagavad jälgimatuse. Kurjategijad suhtlevad ohvritega kõige sagedamini integreerides nakatunud süsteemi sõnumi, mis teavitab neid edasisest suhtlusest. Oluline on hoida külma närvi ja vältida väljapressimist ning usaldada kuritegeliku grupeeringuga suhtlemine küberturvalisuse spetsialistidele.

Kahjuks pole siiani täpselt teada, kui paljud organisatsioonid on sellisel moel kannatada saanud. Paljud ettevõtted otsustavad lunaraha maksta ja jätta avaldamata, et on sattunud küberrünnaku ohvriks, kuid umbkaudsete hinnangute kohaselt ulatub ohvrite arv mitmekümne tuhandeni. Tuleks meelde tuletada, et kurjategijatele maksmine ei garanteeri midagi – lõpuks jääte ilma nii andmetest kui ka rahast.